Os indivíduos responsáveis pela segurança das informações pessoais (colaboradores da Pontomais, subcontratadas / sub operadores e etc) entendem o que constitui um incidente de dados, como relatá-lo e o que precisa ser relatado imediatamente? (em adequação)

Resposta: Processo sendo revisto/implementado junto como RH e Administrativo/Jurídico.

Possuímos adequação de contrato com fornecedores / sub operadores / subcontratações para adequação a LGPD?
Resposta: Em processo de adequação.

Possuímos um DPO / Encarregado de dados?
Resposta: Sim. 

Quem é o DPO da Pontomais e qual o contato dele?
Resposta: Emanuel Pires Ferreira, e-mail: dpo@pontomais.com.br. 

A Pontomais possui algum termo comprovando que os processos da empresa estão conforme a Lei Geral de Proteção de Dados?
Resposta: Sim. Tivemos o cuidado de incluir informações sobre como tratamos a LGPD em nossos Termos e Condições de Uso do Sistema e criamos uma política específica para a questão de Privacidade dos Dados. Nessa política, disponibilizamos detalhes sobre o tratamento dos dados na Pontomais e mais informações sobre como trabalhamos o tema Lei Geral de Proteção de Dados. 

Como o nosso foco é na transparência, mantemos esses documentos públicos para acesso. 

Termos e condições de uso: https://pontomais.com.br/termos-de-uso/
Política de privacidade: https://pontomais.com.br/politica-de-privacidade/ 

Possuímos Acordo de Processamento de Dados Pessoais padrão (Data Processing Agreement – DPA)?
Resposta: Atualmente não, mas possuímos a Política de Privacidade.

Quem são as sub contratadas (subcontratações) / sub operadores / provedores de serviços?

• Pipefy – https://pipefy.com.br/ 
• Pipedrive – https://pipedrive.com.br/ 
• Superlogica – https://superlogica.com/ 
• Nexcore – https://nexcore.com.br/ 
• Zendesk – https://www.zendesk.com/ 
• Rdstation – https://www.rdstation.com/ 
• Announcekit – https://announcekit.app/   
• Hotjar – https://www.hotjar.com/ 
• Calendly – https://calendly.com/
• Wootric – https://www.wootric.com/ 

Lista de subcontratações, CNPJ a e localização geográfica das empresas:

1. Pipefy – Ferramenta Internacional – 548 Market St San Francisco, CA 94104-5401 United States
2. Pipedrive – Ferramenta Internacional – Mustamäe tee 3a Tallinn, Harjumaa 10615 Estonia
3. Superlógica – 04.833.541/0001-51 – RUA JOAQUIM VILLAC, Nº 501 – BAIRRO – VILA TEIXEIRA CAMPINAS – SP CEP: 13032-385
4. Nexcore – 13.964.830/0001-80 – Rua Hermes Fontes, 316 – Bairro – Batel Curitiba – PR CEP: 80.440-070
5. Zendesk – Ferramenta Internacional – 989 Market St San Francisco, CA
6. Rdstation – 13.021.784/0001-86 – ROD VIRGILIO VÁRZEA, 587, FLORIPA SHOPPING MONTE VERDE FLORIANÓPOLIS – SC CEP: 88.032-001
7. Announcekit – Ferramenta Internacional – 651 N. BROAD ST. SUITE 206 MIDDLETOWN DE 19709 United States
8. Hotjar – Ferramenta Internacional – Dragonara Business Centre 5th Floor, Dragonara Road,Paceville St Julian’s STJ 3141 MALTA (EU)
   Calendly – 271 17th St NW, 10th Floor, Atlanta, Georgia 30363, US
9. Wootric – Ferramenta Internacional. Endereço: 10355 South Jordan Gateway / Suite 600 / South Jordan, UT 84095.

Existem termos de confidencialidade em vigor para proteção dos dados tratados pelos subcontratados / sub operadores / prestadores de serviços? (Em processo de adequação).

Quais são os dados pessoais tratados pela Pontomais? 
Para cadastro do colaborador: 

• Primeiro nome;
• Sobrenome;
• Se CLT sim: PIS;
• Se registra ponto por reconhecimento facial: foto;
• Se optar por registro simples por Whatsapp: número do telefone;
• Cargo;
• Data de admissão;
• Data de início do uso do Pontomais (quando o uso da ferramenta iniciou para o colaborador);
• Turno (informações de jornada de trabalho); 
• Equipe;
• Configuração de controle de ponto.

Alguns dados acima não são obrigatórios em todos os cenários. As informações estão sinalizadas de acordo com a circunstância em que serão obrigatórias, como, por exemplo: Se optar por registro por Whatsapp, precisará cadastrar o número do celular, caso contrário não haverá necessidade. 

Outros dados que poderão ser tratados:

• Endereço de IP;
• Endereço;
• Valor da hora de trabalho;
• Localização de registro do ponto; 
• Documentos (carteira de trabalho, carteira de habilitação, registro de inscrição civil, registro nacional de estrangeiro, rg e órgão de classe);
• Dados de nacionalidade;
• Se PCD e qual o tipo de deficiência;
• Dados de dependentes (nome, data de nascimento, cpf e relação com o titular); 
• E-mail;
• UUID; 
• Número da matrícula do colaborador;
• Informações para acesso remoto;
• Atestados / declarações médicas;
• Data de férias;
• Informações de afastamento pelo INSS;
• Dados pessoais: se é aposentado, gênero, estado civil, nome da mãe, nome do pai, raça, escolaridade, data de nascimento, nacionalidade e naturalidade.
• Demais dados que possam ser fornecidos pelos clientes ao longo do suporte  realizado via chat e email pela equipe da Pontomais.

Qual é a finalidade do tratamento de cada dado em nossas atividades? 

• Cláusula 4 da nossa política de privacidade:
  
  4. A CONTRATANTE autoriza e concorda que todas as informações coletadas automaticamente pela Plataforma (dados de identificação digital), tais como características do computador/dispositivo de acesso, do navegador (tipo e versão), IP (com data e hora), origem do IP e sistema operacional, bem como aquelas voluntariamente inseridas, enviada ou transmitidas pela CONTRATANTE e demais Usuários, como dados cadastrais, poderão ser coletadas, analisadas e utilizadas pela CONTRATADA exclusivamente para os fins específicos de: (i) análise do uso dos Serviços PONTOMAIS; (ii) manter e melhorar a Plataforma, garantindo uma experiência satisfatória aos Usuário que a acessarem, mediante o constante aprimoramento dos Serviços ofertados; (iii) garantir a segurança dos Usuários e identificá-los; (iv) comunicação com os Usuários, bem como responder solicitações, consultas ou perguntas feitas por estes através do site, aplicativo e/ou e-mail disponibilizado; (v) permitir o acesso automático à Plataforma após o primeiro acesso, bem como o acesso de cada Usuário a certas áreas restritas do site/aplicativo, como, por exemplo, os acessos específicos de Administrador e Gestor; (vi) manutenção de backup de base de dados; (vii) compilar estatísticas agregadas sobre o uso da Plataforma; (viii) para fins de informar sobre novidades, funcionalidades, conteúdos, notícias, oferta de novos produtos e/ou serviços, marketing e exibição de anúncios dirigidos aos Usuários; e (ix)cumprir obrigações legais e regulatórias, sendo a base legal para o tratamento dos dados pela CONTRATADA o consentimento claro, de cada titular, bem como o legítimo interesse da Controladora e o cumprimento de obrigações legais.

Data center / nuvem, controles / monitoria e localização: 

• Utilizamos 100% da estrutura na AWS. Os servidores estão localizados na Virginia (Estados Unidos) com replicação dos backup para Ohio (Estados Unidos) e São Paulo. Monitoramento por parceiro (Cloudster), 24 horas, 7 dias da semana, além de utilizarmos CloudWatch da própria AWS com alertas.
  
• Controles do data center: https://aws.amazon.com/pt/compliance/data-center/controls/ 
• Compliance / Programas de conformidade da AWS: https://aws.amazon.com/pt/compliance/programs/
• Contrato da AWS com a Pontomais: https://aws.amazon.com/pt/agreement/ 

A aplicação e o banco de dados estão na mesma localidade?
Resposta: Sim.

Há transferência internacional de dados/Artigo 33 da LGPD?
Resposta:Sim. Os terceiros localizados no Brasil, na Europa e na Califórnia estão submetidos à legislação própria de proteção de dados.

Como as transferências seguras de dados são realizadas?
Resposta: Os dados que passam pelo Sistema Pontomais são criptografados, tanto dados em trânsito quanto armazenados. Todos os acessos do navegador com a plataforma da Pontomais são criptografados em trânsito, por meio de criptografia TLS SHA-256 com RSA.

Nós possuímos controles para separar os dados de diferentes clientes em nosso ambiente?
Resposta: Nosso banco de dados possui a mesma instância para todos os clientes (single tenant), ou seja, não é possível que o cliente tenha acesso direto ao banco de dados. Se houver interesse, também oferecemos o private cloud para contratação.

Em caso de manutenção programada, o serviço fica indisponível? Há aviso prévio?
Resposta: É possível acompanhar a indisponibilidade pelo canal https://status.pontomais.com.br/. 

A Pontomais possui mecanismos para descarte seguro dos dados? (Em processo de adequação)

Como funciona o descarte dos dados quando solicitado pelo titular de dados?
Resposta: Item 7.2 da Política de Privacidade: Em algumas circunstâncias, o Usuário possui o direito de pedir a exclusão de seus dados pessoais, sem demora injustificada, ficando estabelecido por meio desta Política que os pedidos de exclusão serão processados no prazo máximo de 30 (trinta) dias a contar da data da solicitação. Essas circunstâncias incluem: (i) os dados pessoais não são mais necessários em relação aos fins para os quais foram coletados; (ii) o Usuário retirar seu consentimento para o tratamento baseado no consentimento do titular; (iii) o tratamento é para fins de marketing; (iv) o Usuário se opõe ao tratamento; e (v) os dados pessoais foram tratados ilegalmente. Contudo, há hipóteses de exclusão deste direito de oposição ao tratamento dos dados, tais como quando necessários ao exercício do direito à liberdade de expressão e informação, para o cumprimento de obrigações legais e/ou regulatórias, para o exercício de direitos em processos ou mesmo para o legítimo interesse da Controladora.

Link para leitura da Política de Privacidade de forma integral: https://pontomais.com.br/politica-de-privacidade/.

• Certificações/ISO: 

Como Pontomais não temos certificações, porém, a nossa infraestrutura é hospedada e gerenciada nas centrais de dados seguras da Amazon. O Sistema Pontomais utiliza os recursos internos de segurança, privacidade e redundância da plataforma. A AWS monitora constantemente a possibilidade de riscos em suas centrais de dados e submete-se a avaliações, para assegurar a conformidade com os padrões do setor. As operações da central de dados da Amazon foram certificadas por: ISO 27001, SOC 1 e SOC 2/SSAE 16/ISAE 3402 (antigo SAS 70 Type II), PCI Level 1, FISMA Moderate and Sarbanes-Oxley (SOX). 

 Há um setor específico de Segurança da Informação?
Resposta: Atualmente não. Demandas relacionadas a Segurança da Informação são tocadas pela equipe de Produto e de Infraestrutura, com uma consultoria juridica especializada. 

Possuímos logs de atualizações?
Resposta: Sim, para informações de como acessar os logs no Sistema Pontomais é só conferir a publicação sobre o tema.

São realizados backups dos dados do sistema?
Resposta: Sim.

Qual é a periodicidade dos backups? 

• Point time 5 minutos por 7 dias;
• Últimas 5 semanas (backups de domingos);
• Últimos 12 meses (backups do último dia do mês).

Quais cuidados são tomados para a realização de backups?
Resposta: Nós utilizamos a política de armazenamento da AWS.

Qual a versão do SSL/TLS empregado na criptografia da transmissão?
Resposta: TLS SHA-256 com RSA.

Os dados são armazenados encriptados?
Resposta: Os backups são cifrados

Qual o método empregado na criptografia do armazenamento?
Resposta: Serviço da Amazon RDS.

Qual algoritmo de criptografia é empregado no armazenamento?
Resposta: AES-256.

Em qual mídia e formato os dados pessoais estão gravados?
Resposta: Banco de dados, backup e S3.

A Pontomais possui uma lista completa com todos os dados pessoais, classificação de finalidade de tratamento, período em que será tratado, local de armazenamento e pessoas com quem compartilha? (Em processo de adequação).

Como protegemos as informações dos usuários?
Resposta: O acesso ao banco de dados é cifrado e o acesso ao ambiente da AWS (VPC) é feito apenas por IPS liberados. Temos o WAF (Web Application Firewall), pseudonimização dos dados pessoais do cliente na base do suporte e log de produto, assim como a implementação de SSO e 2FA.

Quais são as medidas internas para proteger os dados pessoais / PI (personal information)?

• Políticas de controle de acesso:
• Revisões de acesso constantes.
• Funções e responsabilidades e de privacidade.
• Privacidade como medida padrão
• Restrições do tipo “need to know bases”
• Avaliações de segurança e privacidade.
• Separação de deveres
• Política de senha forte.
• Criptografia.
• Utilização de login único.
• Política de privacidade.

Testes para medir a eficácia das medidas de proteção aos dados pessoais / personal information: (Em processo de adequação).

Em caso de mudanças significativas, são realizados testes para garantir que as mudanças do sistema não vão afetar negativamente as informações pessoais?
Resposta: Sim, aplicamos os conceitos de privacy by design.

RTO (Recovery Time Objective) e o RPO (Recovery Point Objective) dos serviços prestados são definidos?
Resposta:  Cláusula 20 dos termos de uso: A CONTRATADA obriga-se a fornecer e manter o acesso da CONTRATANTE à Plataforma online, garantindo uma eficiência de 99,95% (noventa e nove vírgula noventa e cinco por cento), bem como manter todos os dados gerados durante sua utilização e vinculados à sua conta com a mesma eficiência, de forma online e/ou em arquivos manuais estruturados, tudo conforme o Plano escolhido e durante seu período de vigência, salvo ocorrência de evento de força maior não controlável pela CONTRATADA, como desastres naturais, colapso de sistemas, incêndios ou qualquer outro, e desde que a Plataforma seja utilizada pela CONTRATANTE de forma correta, com equipamento/dispositivo e sistema operacional compatíveis e adequados. Em caso de Plano Pago, o acesso aos dados e informações será garantido à CONTRATANTE nos mesmos termos, enquanto forem realizados os pagamentos mensais/anuais do Plano contratado.

Plano de continuidade de negócio:
Resposta: Existe um plano de continuidade de negócios e está descrito na cláusula 20 dos nossos Termos de Uso:

20. A CONTRATADA obriga-se a fornecer e manter o acesso da CONTRATANTE à Plataforma online, garantindo uma eficiência de 99,95% (noventa e nove vírgula noventa e cinco por cento), bem como manter todos os dados gerados durante sua utilização e vinculados à sua conta com a mesma eficiência, de forma online e/ou em arquivos manuais estruturados, tudo conforme o Plano escolhido e durante seu período de vigência, salvo ocorrência de evento de força maior não controlável pela CONTRATADA, como desastres naturais, colapso de sistemas, incêndios ou qualquer outro, e desde que a Plataforma seja utilizada pela CONTRATANTE de forma correta, com equipamento/dispositivo e sistema operacional compatíveis e adequados. Em caso de Plano Pago, o acesso aos dados e informações será garantido à CONTRATANTE nos mesmos termos, enquanto forem realizados os pagamentos mensais/anuais do Plano contratado.

Link dos Termos de Uso integralmente: https://pontomais.com.br/termos-de-uso/

Testamos o nosso plano de continuidade de negócios? (Em processo de adequação).

Existe um processo para recuperar informações críticas no caso do provedor fechar o negócio? (Em processo de adequação).

Possuímos SSO / Single Sign-On? (Em processo de adequação).

Possuímos 2FA / Verificação em dois fatores? (Em processo de adequação).

Possuímos OAUTH2?  (Em processo de adequação).

Permitimos o controle de permissões por perfis de acesso obtidos do Identity Provider? (Em processo de adequação).

A Pontomais possui controle de acesso baseado em funções (RBAC/Role-based access control)?
Resposta: Sim! No menu Segurança é possível cadastrar grupos de usuários e liberar acessos conforme as necessidades de cada cargo ou usuário.

Foi elaborado o RIPD? (Em processo de adequação).

Em caso de demanda de um titular de dados ou da autoridade nacional, a Pontomais notifica o controlador dos dados?
Resposta: Sim.

Qual é o volume de dados / quantidade de registros que a Pontomais tem acesso (por exemplo: 500, 1.000, 10.000, etc)?
esposta: Não é possível quantificar essa informação, a quantidade de dados dependerá diretamente das funcionalidades que a contratante utilizará, assim como a quantidade de cadastrados de colaboradores no sistema.

Como é feita a coleta de consentimento para tratar os dados?
Resposta: Para utilizar o sistema é preciso aceitar os nossos Termos e Condições, assim como a nossa Política de Privacidade. Essa informação é detalhada no item 5 da nossa Política de Privacidade:

5. Ao utilizar as funcionalidade PONTOMAIS, o Usuário poderá ter que fazer o uso de serviços de terceiros para o processamento de alguns dados, como de geolocalização, detectada a partir do sistema utilizado por cada Usuário em seu dispositivo móvel, e, se aplicável, a coleta de dados biométricos, como o reconhecimento facial, estando ciente a CONTRATANTE e demais Usuários de que a coleta e tratamento destas informações está sujeita à política de privacidade do respectivo desenvolvedor e detentor do sistema utilizado. Dentro do site/aplicativo PONTOMAIS, os dados de geolocalização e biométricos compartilhados pelos Usuários serão coletados e tratados unicamente para os fins descritos nestes Termos, e mediante o prévio, informado e expresso consentimento do Usuário com o compartilhamento de suas informações. A CONTRATANTE, em seu papel de Controladora de dados, para a qual a Operadora PONTOMAIS presta serviços de tratamento destas informações, compromete-se a providenciar a autorização para utilização e inserção no sistema dos dados pessoais e direitos de imagem de seus Colaboradores e demais Usuários, que deverão também ler, entender e consentir com a Política de Privacidade da PONTOMAIS.

A empresa já passou por algum incidente de violações de segurança da informação nos últimos dois (2) anos?
Resposta: Não.

Qual é a estratégia de antivírus?
Resposta: Nós utilizamos a nuvem AWS com servidores Linux não precisamos de antivírus e anti malware devido ao nível elevado de segurança do ambiente

Qual é a estratégia de patches?
Resposta: Em processo de adequação.

Política de Proteção de Dados / Política de confidencialidade de dados pessoais:
Resposta: O mapeamento de processos, tecnologias e terceiros já foi iniciado, bem como a análise de risco. Em seguida, iniciaremos a adequação das políticas e demais documentações.

Quais são as medidas em vigor em caso de violações da segurança dos dados pessoais? (Em processo de adequação).

Realizamos auditorias regulares buscando a segurança dos dados da Pontomais? (Em processo de implantação).

Existe redundância de recursos?
Resposta: Os data centers são projetados para prever e tolerar falhas, mantendo os níveis de serviço. Em caso de falha, processos automatizados desviam o tráfego de dados da área afetada. Os principais aplicativos são implantados em um padrão N + 1 para que, em caso de falha no data center, haja capacidade suficiente para permitir que o tráfego seja balanceado para os locais restantes.

Para mais informações: https://aws.amazon.com/pt/compliance/data-center/controls/

Existem políticas ou procedimentos de controle de acesso lógico e físico de onde existam dados pessoais e dados pessoais sensíveis?
Resposta: O prédio em que a Pontomais está localizada possui portaria, câmeras, catracas e o andar está protegido com porta com reconhecimento facial. Os colaboradores da Pontomais só acessam o prédio ao se identificar por digital nas catracas, enquanto os visitantes precisam se identificar na portaria com apresentação de um documento oficial e caso sejam autorizados a entrar, receberão um crachá provisório.

A Pontomais promove treinamento e conscientização do time / colaboradores / funcionários quanto ao tema privacidade de dados / segurança da informação? (Em processo de adequação).

Todos os tratamentos de dados / transmissões de informações / dados armazenados são criptografados?
Resposta: Não.

Todos os colaboradores recebem treinamento técnico para exercer a sua função?
Resposta: Sim.

Existem alternativas para impedir o acesso de um colaborador da Pontomais aos dados de algum cliente específico?
Resposta: Os dados são acessados apenas por VPN ou dentro da rede de internet interna da Pontomais por meio do controle de acesso. Os dados também estão ofuscados e só podem ser visualizados pela nossa equipe com autorização do próprio cliente.

Qual é nosso mecanismo de prevenção a ataques de força bruta?
Resposta: Firewall – WAF.

Possuímos um inventário de ativos físicos (estação, notebook, servidor, roteador, firewall, switch, etc)?
Resposta: Sim.

Os dados possuem certificação do Privacy Shield?
Resposta: Os dados que passam pela Pontomais são criptografados, tanto em trânsito quanto armazenados. Todos os acessos navegados são criptografados em trânsito, por meio de criptografia TLD SHA-256 com RSA. De todo modo, a última atualização é que o Privacy Shield (acordo entre os Estados Unidos e União Europeia) foi anulado.

Todos os dados pessoais ou confidenciais transmitidos sem fio são criptografados?
Resposta: Sim.

Se precisar da assinatura da Pontomais em documentos relacionados a LGPD, o arquivo deve ser enviado para meajuda@pontomais.com.br e o documento deve estar direcionado à Pontomais, se houver lacunas em branco para identificação o arquivo será retornado para ajuste.

Esse material está em constante atualização e sua ajuda é muito importante para nós. Não achou alguma informação? Entre em contato com meajuda@pontomais.com.br .